科技雲報道:雲安全的新戰場上,如何打破“雲威脅”的陰霾?
科技雲報道原創。
近年來,在雲計算和網絡安全產業的蓬勃發展下,我國雲安全行業市場規模呈現高速增長態勢,在網絡安全市場總體規模中佔比不斷上升。
據統計,近5年我國雲安全市場保持高速增長,2021年我國雲安全市場規模達到了117.7億元,2022年行業整體規模達到173.3億元,2023年市場規模將達到330億元人民幣,由此可見我國雲安全市場規模蘊含着巨大潛力。
然而,雲安全市場規模擴大的同時,也正面臨着挑戰,尤其是高度利用雲計算技術,將重要業務遷移到雲端的企業,正面臨例如數據泄露、隱私泄露、服務中斷、設備管理等一系列問題。
這些問題如果不得到解決可能會引發嚴重的隱私侵犯問題,影響企業用戶的信任和安全感,再加上如果系統遭受攻擊從而將引發業務中斷,會導致服務不可用,影響用戶體驗和業務連續性,企業聲譽受到嚴重影響,甚至可能導致企業面臨財務損失。
在此背景下,爲企業提供雲安全保障,確保雲服務的安全性、穩定性和可用性,保護雲環境中的數據、應用程序和基礎設施,發揮預防潛在威脅和攻擊的作用正變得越來越重要。
新技術帶來新風險
虛擬機、容器、服務網格、多集羣間通信、多雲和混合雲、Serverless等新技術不斷涌現,對安全邊界提出了越來越多的要求。
2014年流行起來的容器技術算是跨時代的變革,它與Kubernetes等技術共同助力企業實現了應用程序部署等諸多方面的自動化,但同時也帶來了新的安全挑戰。
綜合來看,安全挑戰主要包括四個方面。
首先容器更新迭代非常快,傳統的保護方式已經不適用於容器環境;第二是軟件生產的流程自動化,容器開發階段每天可達上千次的軟件發佈依賴整套CI/CD自動化流程控制;三是越來越多的企業開始在跨雲多雲環境部署容器;四是容器將單一的應用變成了成百上千的微服務,導致服務內部通信爆發式的增長。
Kubernetes採用虛擬化技術,數據、網絡、計算等層面的全部虛擬化對於應用程序開發者來講非常實用。
然而,這卻讓運維安全人員無法瞭解容器的運行狀況,即虛擬化技術本身對安全管控形成了一定的屏障,這無疑升級了安全挑戰。
使用“零信任”升級傳統安全
隨着“雲大移物智”技術發展和產業數字化轉型,傳統安全防禦理念的“邊界”概念逐漸模糊,傳統安全防禦模型也越來越不足以應對威脅。
越來越多來自企業“可信”內部人員與設備的威脅和APT攻擊讓企業“內網”也充滿風險,傳統靜態的“隱式信任”模型急需重構革新。零信任理念在這樣的背景下產生。
2004年成立的耶利哥論壇(Jericho forum)爲了定義無邊界趨勢下的網絡安全問題並尋求解決方案,提出要限制基於網絡位置的隱式信任,並且不依賴於靜態防禦,這就是零信任最早提出的雛形。
2010年,國際著名研究機構Forrester的首席分析師John Kindervag首次提出了零信任安全的概念,他總結了傳統網絡架構中隱含式信任(比如根據IP地址等來賦予信任權等)的潛在風險,認爲安全會跟隨服務模式變化,在去邊界化的時代基於“零信任”原則來演進。
其包含三個原則:不應該區分網絡位置、所有的訪問控制都應該是最小權限且嚴格限制、所有的訪問都應當被記錄和跟蹤。
在這之後,Google花了6年時間逐步完成BeyondCorp零信任架構的遷移工作,其目標是摒棄對企業特權網絡(內網)的依賴並開創一種全新安全訪問模式,員工在訪問企業內部IT設備、應用數據等資源時只依賴於受控設備和用戶身份憑證,而與用戶所處的網絡位置無關。
BeyondCorp零信任架構的成功實踐,爲國內外各大廠商推進零信任架構的優化與產品研發增加了動力,“去邊界化”和“以身份爲中心”的零信任架構持續演進。
2020年全球暴發的新冠疫情,更是爲隨時隨地遠程安全訪問的業務需求打了興奮劑,Google、Microsoft、騰訊及阿里等業界巨頭率先在企業內部實踐零信任並推出完整解決方案,促進了零信任標準和實踐的進一步完善。
2021年底,“核彈級”的Log4j漏洞爆發,大量企業被波及。Log4j就好像是洋蔥芯中的bug,因爲它被層層包裹、嵌入在其他軟件包中,很難被常見的掃描方法識別到。
因此,首先要從源頭進行有效的掃描和控制CVE安全漏洞;而對於無法下線進行修復的應用程序,零信任安全則是最有效的保護方法。
像Log4j這樣的高危漏洞隨着開源軟件的廣泛使用而與日俱增,但傳統安全工具在雲環境很難提供全面的保護。
此外,隨着公有云的快速發展,業界對安全界限的認識也出現了分歧。很多企業認爲,公有云的安全應該完全交給供公有云廠商,但事實並非如此。應用程序級別的安全必須由各個企業用戶自己負責。
這意味着,面對越來越多未知的安全風險,企業的安全防護要從被動式的安全逐漸過渡到主動式安全。
主動安全是一個新的概念,無論處於雲原生化的哪一個階段,企業都可以採取較爲主動的零信任安全功能來提高效率。零信任安全並不需要推翻一切從零開始,企業可以循序漸進地進行部署。
傳統安全能夠堵住已知的安全漏洞,而零信任安全能夠防範未知的安全風險,傳統安全與零信任安全的疊加使用可以幫助企業實現多層防護。
同時,考慮到大部分企業已經在傳統安全上投入了大量資源和金錢,根據企業的實際情況選擇最有效的方面開始針對性部署零信任安全也是最經濟的方式。
雲原生零信任安全的實施可以劃分成四個階段:用戶和可視化;設備、網絡和環境;應用程序、服務和編排管理;數據、自動化和合規檢查。企業無需推翻所有的安全投資和配置,可以從某一個單點開始介入和部署,逐步深化。
雲安全正在浮現的新趨勢
人工智能和機器學習模型由於其複雜性,在某些情況下會出現不可預測的行爲,從而引入意想不到的漏洞。
隨着人工智能的普及,“黑匣子”問題變得更加嚴重。隨着人工智能工具變得越來越可用,用途的多樣性和潛在的誤用也在增加,從而擴大了可能的攻擊媒介和安全威脅。
然而,人工智能是一把雙刃劍,在帶來潛在威脅的同時,人們可以利用人工只能讓雲安全防護變得更加高效。
如果將人工智能和機器學習集成到雲安全中,這些技術將通過自動化和增強各種安全流程來徹底改變該領域。
人工智能和機器學習可以以前所未有的速度分析大量數據,識別可能被忽視的潛在威脅和異常。這種主動的安全方法允許早期發現和減輕風險,顯著改善雲環境的整體安全狀況。
其次,安全即服務(SECaaS)的趨勢也愈加明顯。隨着企業越來越多地將其運營遷移到雲端,對全面、可擴展且經濟高效的安全解決方案的需求不斷增加。
SECaaS提供商通過提供一系列安全服務來滿足這一需求,從威脅情報和入侵檢測到數據丟失防護和加密,所有這些服務都通過雲交付。這種模式不僅降低了安全管理的複雜性和成本,還確保企業能夠獲得最新的安全技術和專業知識。
另一個值得關注的趨勢是雲安全中對隱私和合規性的日益重視。隨着數據泄露和隱私侵犯成爲頭條新聞,監管機構實施更嚴格的數據保護標準,企業面臨着確保其雲環境符合各種法規的壓力。
爲此,雲安全提供商正在開發複雜的工具和框架,幫助企業管理其合規義務、保護敏感數據並維持客戶信任。
未來,雲安全將以先進技術、創新服務模式以及對隱私和合規性的重新關注爲特徵。
隨着這些趨勢的不斷髮展,企業必須跟上最新發展並利用這些創新來增強其雲安全策略。畢竟,在數據成爲新石油的時代,保護數據不僅是必需品,而且是戰略要務。
【關於科技雲報道】
專注於原創的企業級內容行家——科技雲報道。成立於2015年,是前沿企業級IT領域Top10媒體。獲工信部權威認可,可信雲、全球雲計算大會官方指定傳播媒體之一。深入原創報道雲計算、大數據、人工智能、區塊鏈等領域。